JP2006259811A - Log creating device, and program - Google Patents
Log creating device, and program Download PDFInfo
- Publication number
- JP2006259811A JP2006259811A JP2005072503A JP2005072503A JP2006259811A JP 2006259811 A JP2006259811 A JP 2006259811A JP 2005072503 A JP2005072503 A JP 2005072503A JP 2005072503 A JP2005072503 A JP 2005072503A JP 2006259811 A JP2006259811 A JP 2006259811A
- Authority
- JP
- Japan
- Prior art keywords
- log
- conversion
- integrated
- collection
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、コンピュータのログを作成するログ作成装置及びログ作成装置の構築に適したプログラムに関する。 The present invention relates to a log creation device for creating a computer log and a program suitable for construction of the log creation device.
コンピュータシステムのセキュリティおよび信頼性向上の観点から、システムログ情報の管理・解析は非常に重要であり、従来から、ログ情報の取得等を目的としたシステムが開発されている(例えば、特許文献1〜4参照)。
しかしながら、ログ情報は総じて情報量が多く、解析作業に多くの時間が必要となっている。特に、複数のコンピュータのログ情報を追跡しなければならない場合には、その作業はさらに複雑なものとなり、システム管理者としての多くの経験や知識が要求されることが多く、ログ解析が複雑、困難になるという問題がある。
Management and analysis of system log information is very important from the viewpoint of improving the security and reliability of a computer system, and a system for the purpose of acquiring log information has been developed (for example, Patent Document 1). To 4).
However, the log information generally has a large amount of information and requires a lot of time for analysis work. In particular, when the log information of multiple computers must be tracked, the work becomes even more complicated, requiring a lot of experience and knowledge as a system administrator, and log analysis is complicated. There is a problem that it becomes difficult.
例えば、特許文献1には、ログ情報の関連性の解析や表示を行う手段が開示されているが、共用カウンタ値をもとに複数のログの関連性を表示するのみなので、それらの意味はシステム管理者自身が判断しなければならないという問題がある。
また、特許文献2〜4を組み合わせることによって、複数のサーバによるセッション(処理の流れ)のログを一つにまとめた統合ログとして表示する発明を構築することが可能である、例えば、統合ログとして複数のログにおけるログパターンの関連性や階層構造を表示することによって、システム全体の処理の流れを明確にすることが可能である。
For example,
In addition, by combining
しかしながら、表示された統合ログが何を意味するかはシステム管理者自身の経験から判断しなければならず、経験の浅いシステム管理者等では使用が容易ではないという問題がある。
また、統合ログ表示時に、サーバ名、ログファイル名、ログ出力日時を指定し、統合ログ作成の起点となるログエントリを選択する必要があるため、統合ログとして表示可能な箇所を見つけにくいという問題がある。
However, what the displayed integrated log means must be determined from the experience of the system administrator himself, and there is a problem that it is not easy to use by a system administrator with little experience.
In addition, when displaying the integrated log, it is necessary to specify the server name, log file name, log output date and time, and select the log entry that is the starting point for creating the integrated log. There is.
本発明は、前記問題点に鑑み成されたもので、ログ解析作業の手間を削減できるようにすることを課題としている。
また、本発明は、経験の浅いシステム管理者であっても容易にログ解析を行いうるようにすることを課題としている。
The present invention has been made in view of the above-described problems, and an object thereof is to reduce the labor of log analysis work.
Another object of the present invention is to enable even an inexperienced system administrator to easily perform log analysis.
本発明によれば、複数のログ収集対象コンピュータからログファイルを収集するログ収集手段と、前記ログ収集手段が収集した複数のログファイルを、共通フォーマットである中間形式のログファイルに変換する中間ログ変換手段と、前記複数の中間形式のログファイルに対して、所定の変換ルールを適用することによって統合ログを作成する統合ログ変換手段とを備えて成ることを特徴とするログ作成装置が提供される。
ログ収集手段は、複数のログ収集対象コンピュータからログファイルを収集する。中間ログ変換手段は、前記ログ収集手段が収集した複数のログファイルを、共通フォーマットである中間形式のログファイルに変換する。統合ログ変換手段は、前記複数の中間形式のログファイルに対して、所定の変換ルールを適用することによって統合ログを作成する。
According to the present invention, log collection means for collecting log files from a plurality of log collection target computers, and an intermediate log for converting a plurality of log files collected by the log collection means into a log file of an intermediate format that is a common format There is provided a log creation device comprising: conversion means; and integrated log conversion means for creating an integrated log by applying a predetermined conversion rule to the plurality of intermediate format log files. The
The log collection means collects log files from a plurality of log collection target computers. The intermediate log conversion unit converts the plurality of log files collected by the log collection unit into an intermediate format log file which is a common format. The integrated log conversion means creates an integrated log by applying a predetermined conversion rule to the plurality of intermediate format log files.
ここで、前記変換ルールを格納した変換テーブルを記憶する変換テーブル記憶手段を有し、前記統合ログ変換手段は、前記複数の中間形式のログファイルに対して、前記変換テーブル記憶手段に記憶された所定の変換ルールを適用して変換することによって、統合ログを得るように構成してもよい。
また、前記中間形式のログファイルは、ログ収集対象のコンピュータ名、前記コンピュータのOSの種類、各ログ収集対象サーバ上でログエントリが記録された時刻及びメッセージを含むように構成してもよい。
Here, it has conversion table storage means for storing the conversion table storing the conversion rule, and the integrated log conversion means is stored in the conversion table storage means for the plurality of intermediate format log files. You may comprise so that an integrated log may be obtained by applying a predetermined conversion rule and converting.
The intermediate format log file may include a computer name of a log collection target, an OS type of the computer, a time when a log entry is recorded on each log collection target server, and a message.
また、前記中間形式のログファイルを記憶する収集ログ記憶手段と、前記統合ログを記憶する統合ログ記憶手段とを有し、前記中間ログ変換手段は、前記ログ収集手段から渡された複数のログファイルを前記中間形式のログファイルに変換して前記収集ログ記憶手段に記録し、前記統合ログ変換手段は、前記収集ログ記憶手段に記憶されている複数のログファイルに対して、前記変換テーブル記憶手段に記憶されている変換ルールを適用して変換することによって得られた結果を統合ログとして前記統合ログ記憶手段に記録するように構成してもよい。 And a collection log storage unit that stores the log file in the intermediate format; and an integrated log storage unit that stores the integrated log. The intermediate log conversion unit includes a plurality of logs received from the log collection unit. The file is converted into the intermediate format log file and recorded in the collected log storage means, and the integrated log conversion means stores the conversion table storage for a plurality of log files stored in the collected log storage means. The result obtained by applying the conversion rule stored in the means for conversion may be recorded in the integrated log storage means as an integrated log.
また、ユーザインタフェースから受信した収集ログおよび統合ログの表示、削除の要求を処理するログ情報管理手段を備えて成るように構成してもよい。
また、ユーザインタフェースから受信した変換ルールの表示、追加、修正、削除の要求を処理する変換ルール管理手段を備えて成るように構成してもよい。
In addition, log information management means for processing a display / deletion request for the collected log and the integrated log received from the user interface may be provided.
Moreover, you may comprise so that the conversion rule management means which processes the request | requirement of the display of the conversion rule received from the user interface, addition, correction, and deletion may be provided.
また、本発明によれば、コンピュータを、複数のログ収集対象コンピュータからログファイルを収集するログ収集手段と、前記ログ収集手段が収集した複数のログファイルを、共通フォーマットである中間形式のログファイルに変換する中間ログ変換手段と、前記複数の中間形式のログファイルに対して、所定の変換ルールを適用することによって統合ログを作成する統合ログ変換手段として機能させることを特徴とするプログラムが提供される。 Further, according to the present invention, the computer collects log files from a plurality of log collection target computers, and the log file collected by the log collection unit is an intermediate format log file. Provided is a program characterized by functioning as an integrated log converting means for generating an integrated log by applying a predetermined conversion rule to the intermediate log converting means for converting to a plurality of intermediate format log files Is done.
コンピュータはプログラムを実行することにより、複数のログ収集対象コンピュータからログファイルを収集するログ収集手段と、前記ログ収集手段が収集した複数のログファイルを、共通フォーマットである中間形式のログファイルに変換する中間ログ変換手段と、前記複数の中間形式のログファイルに対して、所定の変換ルールを適用することによって統合ログを作成する統合ログ変換手段として機能する。 By executing a program, the computer collects log files from multiple log collection target computers, and converts the multiple log files collected by the log collection unit into a common format log file The intermediate log conversion unit that functions as an integrated log conversion unit that creates an integrated log by applying predetermined conversion rules to the plurality of intermediate format log files.
ここで、前記統合ログ変換手段は、前記複数の中間形式のログファイルに対して、変換テーブル記憶手段に記憶された所定の変換ルールを適用して変換することによって、統合ログを得るように機能させるように前記プログラムを構成してもよい。
また、前記中間形式のログファイルは、ログ収集対象のコンピュータ名、前記コンピュータのOSの種類、各ログ収集対象サーバ上でログエントリが記録された時刻及びメッセージを含むようにして成るよう前記プログラムを構成してもよい。
Here, the integrated log conversion means functions to obtain an integrated log by converting the plurality of intermediate format log files by applying a predetermined conversion rule stored in the conversion table storage means. You may comprise the said program so that it may make.
In addition, the intermediate log file includes the name of the computer that is the log collection target, the OS type of the computer, the time when the log entry is recorded on each log collection target server, and the message. May be.
また、前記中間ログ変換手段は、前記ログ収集手段から渡された複数のログファイルを前記中間形式のログファイルに変換して収集ログ記憶手段に記録し、前記統合ログ変換手段は、前記収集ログ記憶手段に記憶されている複数のログファイルに対して、前記変換テーブル記憶手段に記憶されている変換ルールを適用して変換することによって得られた結果を統合ログとして統合ログ記憶手段に記録するように機能させるよう前記プログラムを構成してもよい。 The intermediate log conversion unit converts the plurality of log files passed from the log collection unit into the log file of the intermediate format and records the log file in the collection log storage unit. The integrated log conversion unit includes the collection log A result obtained by applying the conversion rule stored in the conversion table storage unit and converting the plurality of log files stored in the storage unit is recorded as an integrated log in the integrated log storage unit. The program may be configured to function as described above.
また、更に、ユーザインタフェースから受信した収集ログおよび統合ログの表示、削除の要求を処理するログ情報管理手段として機能させるように構成してもよい。
また、更に、ユーザインタフェースから受信した変換ルールの表示、追加、修正、削除の要求を処理する変換ルール管理手段として機能させるように構成してもよい。
Furthermore, it may be configured to function as a log information management unit that processes a display / deletion request for the collected log and the integrated log received from the user interface.
Further, it may be configured to function as a conversion rule management means for processing a request for display, addition, correction, and deletion of a conversion rule received from the user interface.
本発明に係るログ作成装置によれば、ログ解析作業の手間を削減することが可能になる。また、経験の浅いシステム管理者であっても容易にログ解析を行うことが可能になる。
また、本発明によれば、前記ログ作成装置を構築するに適したプログラムを提供することが可能になる。
According to the log creating device of the present invention, it is possible to reduce the labor of log analysis work. Further, even an inexperienced system administrator can easily perform log analysis.
Further, according to the present invention, it is possible to provide a program suitable for constructing the log creation device.
図1は、本発明の実施の形態に係るログ作成装置の構成を示すブロック図である。ログ作成装置は、ネットワークにデータ処理装置2を接続するためのネットワーク装置1と、プログラム制御により動作するログ作成装置であるデータ処理装置2と、各種情報を記憶する記憶手段としての記憶装置3とを備えている。尚、データ処理装置2は、中央処理装置(CPU)や記憶装置等を有するコンピュータによって構成し、前記CPUが前記記憶装置に記憶したプログラムを実行することによって後述する処理を行うように構成することが可能である。
FIG. 1 is a block diagram showing a configuration of a log creation device according to an embodiment of the present invention. The log creation device includes a
記憶装置3は、収集ログ記憶手段としての収集ログ記憶部31と、変換テーブル記憶手段としての変換テーブル記憶部32と、統合ログ記憶手段としての統合ログ記憶部33とを備えている。
収集ログ記憶部31は、ネットワークシステム上の複数のログ収集対象コンピュータ(サーバ)(図示せず)から取得したログファイル群を、所定の共通フォーマットに変換したものを記憶する。
The
The collected log storage unit 31 stores a log file group obtained by converting a plurality of log collection target computers (servers) (not shown) on the network system into a predetermined common format.
変換テーブル記憶部32は、複数のログファイルから統合ログを生成するために必要な変換ルールを格納した変換テーブルを記憶する。ここで、統合ログとは、複数のログをまとめたログをいい、例えば、ネットワークに接続されている複数のコンピュータのログを一つにまとめて要約にしたログをいう。
統合ログ記憶部33は、統合ログ変換手段23によって作成された統合ログを記憶する。
データ処理装置2は、ログ収集手段21と、中間ログ変換手段22と、統合ログ変換手段23と、ログ情報管理手段24と、変換ルール管理手段25と、ユーザインタフェース26とを備える。
The conversion
The integrated log storage unit 33 stores the integrated log created by the integrated log conversion unit 23.
The
ログ収集手段21は、ネットワークシステム上のログ収集対象コンピュータ(サーバ)から指定されたログファイル群を収集し、中間ログ変換手段22に渡す。
中間ログ変換手段22は、ログ収集手段21から渡されたログファイル群を共通フォーマットである中間形式の中間ログに変換し、収集ログ記憶部31に記録する。
統合ログ変換手段23は、収集ログ記憶部31に記憶されている中間形式のログ情報に対して、変換テーブル記憶部32に記憶されている変換ルールを適用し、その結果得られた出力を統合ログとして統合ログ記憶部33に記録する。
The log collection unit 21 collects a specified log file group from the log collection target computer (server) on the network system and passes it to the intermediate log conversion unit 22.
The intermediate log conversion unit 22 converts the log file group passed from the log collection unit 21 into an intermediate format intermediate log that is a common format, and records it in the collection log storage unit 31.
The integrated log conversion unit 23 applies the conversion rule stored in the conversion
ログ情報管理手段24は、ユーザインタフェース26から受信した収集ログおよび統合ログの表示や削除の要求を処理する。
変換ルール管理手段25は、ユーザインタフェース26から受信した変換ルールの表示、追加、修正、削除の要求を処理する。
ユ―ザインタフェース26は、キーボードやマウス等の入力手段と表示部等の出力手段とを備えており、ユーザからのログ情報収集要求やログ情報・変換ルール管理要求を受け、前記各手段21〜25の中の該当する手段に前記要求を振り分け、又、前記各手段21〜25が得た結果をユーザに表示する。
The log information management unit 24 processes a display / deletion request for the collected log and the integrated log received from the user interface 26.
The conversion rule management means 25 processes the conversion rule display, addition, correction, and deletion requests received from the user interface 26.
The user interface 26 includes input means such as a keyboard and a mouse and output means such as a display unit. Upon receiving a log information collection request or a log information / conversion rule management request from the user, each of the means 21 to 21 is provided. The request is distributed to the corresponding means in 25, and the results obtained by the respective means 21 to 25 are displayed to the user.
図2〜図6は、本発明の実施の形態に係るログ作成装置の処理を示すフローチャートであり、データ処理装置2の処理を示すフローチャートである。尚、これらの処理は、データ処理装置2を構成するコンピュータがプログラムを実行することによって行われる。
図7は本発明の実施の形態に係るログ作成装置で使用する共通フォーマットの中間ログファイルの形式を示すテーブルである。図7に示すように、中間ログファイルの形式は、ログ収集対象のコンピュータ名(ここではサーバ名)、前記サーバのOS(Operating System)の種類、各ログ収集対象サーバ上でログエントリが記録された時刻およびメッセージから構成される。
2 to 6 are flowcharts showing processing of the log creation device according to the embodiment of the present invention, and are flowcharts showing processing of the
FIG. 7 is a table showing the format of a common format intermediate log file used in the log creating apparatus according to the embodiment of the present invention. As shown in FIG. 7, the format of the intermediate log file is that the log collection target computer name (in this case, the server name), the OS (Operating System) type of the server, and log entries are recorded on each log collection target server. Time and message.
また、図8は本発明の実施の形態に係るログ作成装置で使用する変換テーブルの形式を示す図である。図8において、変換テーブルは、変換ルールを行とするテーブルとして構成されている。変換ルールは条件式と結果部から構成される。変換ルールの条件式は、複数の条件およびそれらの条件間の時間間隔から構成される。条件は、コンピュータ名(ここではサーバ名)、ログファイル名およびログパターンから構成される。 FIG. 8 is a diagram showing the format of the conversion table used in the log creating apparatus according to the embodiment of the present invention. In FIG. 8, the conversion table is configured as a table having conversion rules as rows. A conversion rule is composed of a conditional expression and a result part. The conditional expression of the conversion rule is composed of a plurality of conditions and a time interval between these conditions. The condition includes a computer name (here, a server name), a log file name, and a log pattern.
サーバ名はログ収集対象となるサーバのホスト名で、複数指定することが可能であるものとする。ログファイル名はログ情報が記録されているファイル名である。ログパターンは検索条件となるログ情報の文字列で、ワイルドカードの使用による部分検索および変数の使用による結果部へのパターンの受け渡しを可能とする。条件間の時間間隔は、各条件のログパターンが出現する時刻の時間間隔であり、この時間内に出現するログパターンのみが条件式を満たすものとする。結果部は変換ルール適用後の出力文字列であり、サーバ名、サーバのOSの種類、ログパターン出現時刻、条件のログパターンの一部を格納した変数の埋め込みを可能とする。 The server name is the host name of the server that is the target of log collection, and multiple server names can be specified. The log file name is a file name in which log information is recorded. A log pattern is a character string of log information that serves as a search condition, and enables partial search using a wild card and passing of a pattern to a result part using a variable. The time interval between conditions is the time interval of the time when the log pattern of each condition appears, and only the log pattern appearing within this time satisfies the conditional expression. The result part is an output character string after the conversion rule is applied, and enables embedding of a variable storing a server name, a server OS type, a log pattern appearance time, and a part of a condition log pattern.
以下、図1〜図8を参照して、本発明の実施の形態に係るログ作成装置及びプログラムについて詳細に説明する。
先ず、ログ収集手段21および中間ログ変換手段22について説明する。ログ収集手段21は、ユーザインタフェース26からログ収集要求を受け取る(図2のステップA1)と、ネットワーク装置1を介して複数のログ収集対象コンピュータであるログ収集対象サーバからログファイルを転送して受信し(ステップA2)、受信したログファイルを中間ログ変換手段22に渡す。
Hereinafter, with reference to FIGS. 1 to 8, a log creation device and a program according to an embodiment of the present invention will be described in detail.
First, the log collection unit 21 and the intermediate log conversion unit 22 will be described. When the log collection unit 21 receives a log collection request from the user interface 26 (step A1 in FIG. 2), the log collection unit 21 transfers and receives log files from the log collection target server, which is a plurality of log collection target computers, via the
中間ログ変換手段22は、受け取った複数のログファイルを共通フォーマットである中間形式に変換(ステップA3)後、中間ログファイル群として収集ログ記憶部31に記録する(ステップA4)ことにより複数のログファイルの一括収集を行う。
次に、統合ログ変換手段23について説明する。統合ログ変換手段23は、ユーザインタフェース26から統合ログ変換要求を受け取る(図3のステップB1)と、変換テーブル記憶部32内の変換ルールを示すポインタを変換テーブルの先頭行に設定し(ステップB2)、変換テーブルに予め定められた所定の変換ルールが存在するか否かを判断し(ステップB21)、変換テーブルに予め定められた所定の変換ルールが存在すると判断した場合には、ポインタが示す変換テーブルの変換ルールを読み込む(ステップB3)。
The intermediate log conversion means 22 converts the received plurality of log files into an intermediate format that is a common format (step A3), and then records the log as a group of intermediate log files in the collected log storage unit 31 (step A4). Collect files collectively.
Next, the integrated log conversion unit 23 will be described. When the integrated log conversion unit 23 receives the integrated log conversion request from the user interface 26 (step B1 in FIG. 3), the pointer indicating the conversion rule in the conversion
次に、統合ログ変換手段23は、収集ログ記憶部31に記録されている前記収集した複数の収集ログに対して、前記読み込んだ変換ルールを適用することにより生成される出力文字列を統合ログとして記録し(ステップB4)、変換テーブルのポインタを次行の変換ルールに設定する(ステップB5)。
ここで、統合ログ変換手段23は、変換テーブルに次の変換ルールが存在する場合(ステップB21)は、ステップB3からステップB5までを繰り返す。
Next, the integrated log converting means 23 converts the output character string generated by applying the read conversion rule to the collected logs collected in the collected log storage unit 31 as an integrated log. (Step B4), and the pointer of the conversion table is set in the conversion rule of the next line (step B5).
Here, when the next conversion rule exists in the conversion table (step B21), the integrated log conversion unit 23 repeats steps B3 to B5.
統合ログ変換手段23は、変換ルールが存在しない場合は変換結果である統合ログを出力する。このとき、統合ログ変換手段23は統合ログが存在するか否かを判断し(ステップB22)、統合ログが空でない場合(換言すれば、統合ログが存在する場合、即ち、変換ルールの適用に成功した場合)は、記録してある統合ログを、条件となった最初のログパターンの出現時刻でソートしてファイルに書き出す(ステップB6)。一方、統合ログ変換手段23は、統合ログが空である場合(変換ルールを適用可能なログが存在しなかった場合)は、ユーザインタフェース26から変換ルールの入力をユーザに促し(ステップB7)、入力があったら上記の変換処理を再実行する。 The integrated log conversion unit 23 outputs an integrated log as a conversion result when there is no conversion rule. At this time, the integrated log conversion means 23 determines whether or not an integrated log exists (step B22), and if the integrated log is not empty (in other words, if the integrated log exists, that is, for application of conversion rules). If successful, the recorded integrated log is sorted by the appearance time of the first log pattern as a condition and written to a file (step B6). On the other hand, when the integrated log is empty (when there is no log to which the conversion rule can be applied), the integrated log conversion unit 23 prompts the user to input the conversion rule from the user interface 26 (step B7). If there is an input, the above conversion process is executed again.
次に、変換テーブルの形式および図3の処理ステップB4の変換ルール適用処理について、さらに詳細に説明する。
図3の処理ステップB4の変換ルール適用手段については、統合ログ変換手段23は、まず読み込んだ変換ルールの条件式から一つ目の条件を取得する(図4のステップC1)。
次に、統合ログ変換手段23は、取得した条件でサーバ名およびログファイル名によって指定されているログを収集ログ記憶部31から読み込み(ステップC2)、条件内で指定されているログパターンを検索して、条件となるログパターンが存在するか否かを判断する(ステップC3、C31)。条件となるログパターンが存在する場合、ログパターンが出現する時刻(T11,・・・,T1N)を記憶する(ステップC4)。
Next, the format of the conversion table and the conversion rule application process in process step B4 of FIG. 3 will be described in more detail.
With respect to the conversion rule application unit in process step B4 of FIG. 3, first, the integrated log conversion unit 23 acquires the first condition from the read conditional expression of the conversion rule (step C1 of FIG. 4).
Next, the integrated log conversion means 23 reads the log specified by the server name and log file name under the acquired condition from the collected log storage unit 31 (step C2), and searches for the log pattern specified in the condition. Then, it is determined whether or not a log pattern as a condition exists (steps C3 and C31). When a log pattern as a condition exists, the time (T11,..., T1N) at which the log pattern appears is stored (step C4).
次に、統合ログ変換手段23は、次の条件が存在するか否かを判断し(ステップC41)、次の条件が存在する場合、その条件および一つ前の条件との間の時間間隔(TS1)を取得(ステップC5、C6)する。
次に、統合ログ変換手段23は、取得した条件でサーバ名およびログファイル名によって指定されているログを収集ログ記憶部31から読み込み(ステップC7)、条件内で指定されているログパターンを時刻(T11〜T11+TS1),・・・,(T1N〜T1N+TS1)の間のログエントリから検索する(ステップC8)。
Next, the integrated log conversion means 23 determines whether or not the next condition exists (step C41). If the next condition exists, the time interval between the condition and the previous condition ( TS1) is acquired (steps C5 and C6).
Next, the integrated log conversion means 23 reads the log specified by the server name and the log file name under the acquired condition from the collected log storage unit 31 (step C7), and the log pattern specified in the condition as the time Search is made from log entries between (T11 to T11 + TS1),..., (T1N to T1N + TS1) (step C8).
以降、統合ログ変換手段23は、条件式内の条件すべてに対してステップC31からC8までを繰り返し、すべての条件で指定されているログパターンが存在する場合、変換ルールの結果部に示されているパターンを時刻と共に統合ログとして記録し、図3のステップB5に戻る。ステップC31で条件となるログパターンが発見されなかった場合は直ちにステップB5へと戻る。 Thereafter, the integrated log converting means 23 repeats steps C31 to C8 for all the conditions in the conditional expression, and if there is a log pattern specified by all the conditions, it is shown in the result part of the conversion rule. Is recorded as an integrated log together with the time, and the process returns to step B5 in FIG. If no log pattern is found in step C31, the process immediately returns to step B5.
次に、ログ情報管理手段24について説明する。ログ情報管理手段24はユーザインタフェース26からログ情報管理要求を受け取り(ステップD1)、その要求を満足する処理を実施する。
ログ情報管理手段24は、ユーザインタフェース26から収集ログの表示要求を受け取った場合(ステップD11)は、収集ログ記憶部31から要求された収集ログファイルを取得し、ユーザインタフェース26を通じて表示する(ステップD2)。
Next, the log information management unit 24 will be described. The log information management unit 24 receives a log information management request from the user interface 26 (step D1), and performs processing that satisfies the request.
When receiving the collection log display request from the user interface 26 (step D11), the log information management unit 24 acquires the requested collection log file from the collection log storage unit 31 and displays it through the user interface 26 (step D11). D2).
ログ情報管理手段24は、ユーザインタフェース26から収集ログの表示要求ではなく収集ログの削除要求を受け取った場合(ステップD12)は、ユーザインタフェース26で指定された収集ログファイルを収集ログ記憶部31から削除し、削除処理の結果をインタフェース26に表示する(ステップD3)。
ログ情報管理手段24は、ユーザインタフェース26から収集ログの表示要求や収集ログの削除要求ではなく統合ログの表示要求を受け取った場合(ステップD13)は、まず統合ログ記憶部33を調べ、統合ログの有無を確認する(ステップD14)。
When the log information management unit 24 receives a collection log deletion request instead of a collection log display request from the user interface 26 (step D12), the log information management unit 24 retrieves the collection log file designated by the user interface 26 from the collection log storage unit 31. It deletes and displays the result of the deletion process on the interface 26 (step D3).
When the log information management unit 24 receives a request for displaying an integrated log instead of a request for displaying a collected log or a request for deleting a collected log from the user interface 26 (step D13), the log information managing unit 24 first checks the integrated log storage unit 33 to check the integrated log. Is confirmed (step D14).
ログ情報管理手段24は、統合ログが存在する場合は統合ログを取得し、ユーザインタフェース26を通じて表示する(ステップD4)。ログ情報管理手段24は、統合ログが存在しない場合は、統合ログ変換手段23に変換要求を送り(ステップD5)、統合ログ変換手段23の変換結果をインタフェース26で表示する(ステップD6)。
ログ情報管理手段24は、統合ログの削除要求を受け取った場合(ステップD15)は、統合ログ記憶部33から統合ログを削除し、結果をインタフェース26で表示する(ステップD7)。
When there is an integrated log, the log information management unit 24 acquires the integrated log and displays it through the user interface 26 (step D4). When the integrated log does not exist, the log information management unit 24 sends a conversion request to the integrated log conversion unit 23 (step D5), and displays the conversion result of the integrated log conversion unit 23 on the interface 26 (step D6).
When receiving the request for deleting the integrated log (step D15), the log information management unit 24 deletes the integrated log from the integrated log storage unit 33 and displays the result on the interface 26 (step D7).
次に、変換ルール管理手段25について説明する。変換ルール管理手段25はユーザインタフェース26からログ情報管理要求を受け取り(ステップE1)、その要求を満足する処理を実施する。
変換ルール管理手段25は、ユーザインタフェース26から変換ルールの表示要求を受け取った場合(ステップE11)は、変換テーブル記憶部32から変換ルールの一覧を取得し、ユーザインタフェース26を通じて表示する(ステップE2)。
Next, the conversion rule management means 25 will be described. The conversion rule management means 25 receives a log information management request from the user interface 26 (step E1), and performs processing that satisfies the request.
When receiving a conversion rule display request from the user interface 26 (step E11), the conversion rule management unit 25 acquires a list of conversion rules from the conversion
変換ルール管理手段25は、ユーザインタフェース26から変換ルールの表示要求ではなく変換ルールの追加要求を受け取った場合(ステップE12)は、送信されてきた変換ルールを変換テーブル記憶部32へ追加し、処理結果をユーザインタフェース26で表示する(ステップE3)。
変換ルール管理手段25は、ユーザインタフェース26から変換ルールの表示要求や変換ルールの追加要求ではなく変換ルールの修正要求を受け取った場合(ステップE13)は、指定された変換ルールを送信されてきたものに修正し、処理結果をユーザインタフェース26で表示する(ステップE4)。
When the conversion rule management unit 25 receives a conversion rule addition request instead of a conversion rule display request from the user interface 26 (step E12), the conversion rule management unit 25 adds the transmitted conversion rule to the conversion
When the conversion rule management means 25 receives not a conversion rule display request or a conversion rule addition request from the user interface 26 but a conversion rule correction request (step E13), the conversion rule management means 25 has received the specified conversion rule. The processing result is displayed on the user interface 26 (step E4).
変換ルール管理手段25は、変換ルールの削除要求を受け取った場合(ステップE14)は、指定された変換ルールを変換テーブル記憶部32から削除し、処理結果をユーザインタフェース26に表示する(ステップE5)。
最後に、ユーザインタフェース26について説明する。ユーザインタフェース26は、ユーザからログ収集要求、統合ログ変換要求、ログ情報管理要求、変換ルール管理要求を受信し、各要求を該当する処理手段21、23、24、25に振り分け、各手段の処理結果を表示する。
When receiving the conversion rule deletion request (step E14), the conversion rule management unit 25 deletes the specified conversion rule from the conversion
Finally, the user interface 26 will be described. The user interface 26 receives a log collection request, an integrated log conversion request, a log information management request, and a conversion rule management request from the user, distributes each request to the corresponding processing means 21, 23, 24, and 25, and processes each means. Display the results.
以上述べたように、本発明の実施の形態に係るログ作成装置によれば、複数のログ収集対象コンピュータからログファイルを収集するログ収集手段21と、ログ収集手段21が収集した複数のログファイルを、共通フォーマットである中間形式のログファイルに変換する中間ログ変換手段22と、前記複数の中間形式のログに対して、所定の変換ルールを適用することによって、複数のログファイルをまとめた統合ログを作成する統合ログ変換手段23とを備えて成ることを特徴としている。 As described above, according to the log creation device according to the embodiment of the present invention, the log collection unit 21 that collects log files from a plurality of log collection target computers, and the plurality of log files that the log collection unit 21 collects. The intermediate log conversion means 22 for converting the log into an intermediate format log file, which is a common format, and integration of a plurality of log files by applying a predetermined conversion rule to the plurality of intermediate format logs It is characterized by comprising integrated log conversion means 23 for creating a log.
ここで、統合ログ変換手段23は、前記複数の中間形式のログファイルに対して、変換テーブル記憶部32に記憶された変換テーブルに格納された所定の変換ルールを適用して変換することによって、統合ログを得るように構成している。
また、中間ログ変換手段22は、ログ収集手段21から渡された複数のログファイルを各々前記中間形式のログファイルに変換して収集ログ記憶部31に記録し、統合ログ変換手段23は、収集ログ記憶部31に記憶されている中間形式の複数のログファイルに対して、変換テーブル記憶部32に記憶されている変換ルールを適用することにより、得られた統合ログを統合ログ記憶部33に記録するように構成している。
Here, the integrated log conversion unit 23 applies the predetermined conversion rule stored in the conversion table stored in the conversion
The intermediate log conversion unit 22 converts each of the plurality of log files delivered from the log collection unit 21 into the log file of the intermediate format and records it in the collection log storage unit 31, and the integrated log conversion unit 23 collects the log file. By applying the conversion rule stored in the conversion
また、統合ログ変換手段23は、前記変換テーブルから前記変換ルールを取り出し、前記中間形式に変換された複数のログファイルから条件式を満たすパターンを検索し、条件を満たすパターンが存在する場合、変換ルールの結果部にあるパターンを出力し、前記変換テーブルに存在するすべての変換ルールを同様に適用し、システム全体の統合的なログを作成することによって、ログ情報を要約するように構成している。 Further, the integrated log conversion means 23 retrieves the conversion rule from the conversion table, searches for a pattern satisfying the conditional expression from a plurality of log files converted into the intermediate format, and if there is a pattern satisfying the condition, conversion is performed. Configure the log information to be summarized by outputting the pattern in the result part of the rule, applying all the conversion rules that exist in the conversion table in the same way, and creating an integrated log for the entire system. Yes.
したがって、ネットワークシステム上に散在している複数のログからシステム全体の統合ログ(複数のログをまとめた要約)を作成できるため、システムのログ解析作業の手間を削減することが可能になる。また、経験の浅いシステム管理者であっても容易にログ解析を行うことが可能になる。
また、複数のログパターンの解析結果を変換テーブルとして保存することにより、関連性の表示だけでなく複数ログの自動的な要約(複数のログファイル内に潜在しているログパターンが何を意味しているかを表示すること)が可能となる。
Therefore, since an integrated log (summary summarizing a plurality of logs) of the entire system can be created from a plurality of logs scattered on the network system, it is possible to reduce time and effort for system log analysis. Further, even an inexperienced system administrator can easily perform log analysis.
Also, by storing the analysis results of multiple log patterns as a conversion table, not only the display of relevance but also the automatic summarization of multiple logs (what the log patterns latent in multiple log files mean Can be displayed).
また、複数サーバによる一つのセッション(処理の流れ)とは関係のないログパターンの組み合わせ(例えば、特定の攻撃パターンなど)を変換して作成することが可能である。
また、変換テーブルの共有により、経験の浅い管理者のログ解析作業を軽減することが可能である。
また、ログ全体を要約することにより変換箇所を列挙することができるため、異常時のログパターンを容易に発見することが可能となるという効果を奏する。
また、本発明の実施の形態によれば、コンピュータが実行することによって前記ログ作成装置を構築するようなプログラムが提供される。
In addition, it is possible to convert and create a combination of log patterns (for example, a specific attack pattern) that is not related to one session (processing flow) by a plurality of servers.
In addition, by sharing the conversion table, it is possible to reduce the log analysis work of an inexperienced administrator.
Further, since the conversion locations can be listed by summarizing the entire log, there is an effect that it is possible to easily find the log pattern at the time of abnormality.
Further, according to the embodiment of the present invention, there is provided a program for constructing the log creating device by being executed by a computer.
本発明によれば、複数のコンピュータをネットワーク接続したコンピュータシステム等、複数のコンピュータを使用するようなシステムにおいて複数のコンピュータのログ解析を行うログ作成装置に適用することが可能である。また、システム管理支援プログラムにおけるログ解析支援機能といった用途に適用できる。 The present invention can be applied to a log creation device that performs log analysis of a plurality of computers in a system that uses a plurality of computers, such as a computer system in which a plurality of computers are connected to a network. Further, it can be applied to a log analysis support function in a system management support program.
1・・・ネットワーク装置
2・・・ログ情報処理手段としてのデータ処理装置
3・・・記憶手段としての記憶装置
21・・・ログ収集手段
22・・・中間ログ変換手段
23・・・統合ログ変換手段
24・・・ログ情報管理手段
25・・・変換ルール管理手段
26・・・ユーザインタフェース
31・・・収集ログ記憶部
32・・・変換テーブル記憶部
33・・・統合ログ記憶部
DESCRIPTION OF
Claims (12)
前記統合ログ変換手段は、前記複数の中間形式のログファイルに対して、前記変換テーブル記憶手段に記憶された所定の変換ルールを適用して変換することによって、統合ログを得ることを特徴とする請求項1記載のログ作成装置。 Conversion table storage means for storing a conversion table storing the conversion rule;
The integrated log conversion unit obtains an integrated log by applying a predetermined conversion rule stored in the conversion table storage unit to the plurality of intermediate format log files for conversion. The log creation device according to claim 1.
前記中間ログ変換手段は、前記ログ収集手段から渡された複数のログファイルを前記中間形式のログファイルに変換して前記収集ログ記憶手段に記録し、
前記統合ログ変換手段は、前記収集ログ記憶手段に記憶されている複数のログファイルに対して、前記変換テーブル記憶手段に記憶されている変換ルールを適用して変換することによって得られた結果を統合ログとして前記統合ログ記憶手段に記録することを特徴とする請求項2又は3記載のログ作成装置。 A collection log storage means for storing the intermediate format log file; and an integrated log storage means for storing the integrated log;
The intermediate log conversion unit converts the plurality of log files passed from the log collection unit into the log file of the intermediate format and records the log file in the collection log storage unit,
The integrated log conversion unit applies a result obtained by converting a plurality of log files stored in the collected log storage unit by applying a conversion rule stored in the conversion table storage unit. 4. The log creation device according to claim 2, wherein the log creation device records the unified log in the unified log storage unit.
前記統合ログ変換手段は、前記収集ログ記憶手段に記憶されている複数のログファイルに対して、前記変換テーブル記憶手段に記憶されている変換ルールを適用して変換することによって得られた結果を統合ログとして統合ログ記憶手段に記録するように機能させることを特徴とする請求項8又は9に記載のプログラム。 The intermediate log conversion unit converts the plurality of log files passed from the log collection unit into the log file of the intermediate format and records the log file in the collection log storage unit,
The integrated log conversion unit applies a result obtained by converting a plurality of log files stored in the collected log storage unit by applying a conversion rule stored in the conversion table storage unit. The program according to claim 8 or 9, wherein the program is made to function so as to be recorded in an integrated log storage unit as an integrated log.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005072503A JP2006259811A (en) | 2005-03-15 | 2005-03-15 | Log creating device, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005072503A JP2006259811A (en) | 2005-03-15 | 2005-03-15 | Log creating device, and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006259811A true JP2006259811A (en) | 2006-09-28 |
Family
ID=37099046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005072503A Pending JP2006259811A (en) | 2005-03-15 | 2005-03-15 | Log creating device, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006259811A (en) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008072333A1 (en) * | 2006-12-14 | 2008-06-19 | Fujitsu Limited | Execution log generation program, execution log generation device, and execution log generation method |
| JP2008210308A (en) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | Log integrating managing device, log integrating managing method, and log integrating managing program |
| JP2009043018A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support apparatus |
| JP2009043019A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009043020A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2010182194A (en) * | 2009-02-06 | 2010-08-19 | Mitsubishi Electric Corp | Device and program for generating integrated log and recording medium |
| JP2010541102A (en) * | 2007-10-02 | 2010-12-24 | ログロジック,インコーポレーテッド | How to find related events in log data |
| CN103473169A (en) * | 2013-09-24 | 2013-12-25 | 北京京东尚科信息技术有限公司 | Log file collection method and device |
| JP2014016758A (en) * | 2012-07-09 | 2014-01-30 | Nippon Telegr & Teleph Corp <Ntt> | Log data decompression device, log data compression device, log data decompression program, and log data compression program |
| CN105698865A (en) * | 2016-03-15 | 2016-06-22 | 龙岩烟草工业有限责任公司 | Method and system for acquiring cigarette production quality control data |
| CN107436728A (en) * | 2016-05-26 | 2017-12-05 | 阿里巴巴集团控股有限公司 | Rule analysis result storage method, regular retrogressive method and device |
| JP2018109900A (en) * | 2017-01-05 | 2018-07-12 | 日立オートモティブシステムズ株式会社 | In-vehicle electronic control apparatus and log storing method |
| JPWO2017081866A1 (en) * | 2015-11-13 | 2018-08-30 | 日本電気株式会社 | Log analysis system, method and program |
| US10248739B2 (en) | 2011-02-28 | 2019-04-02 | Ricoh Company, Ltd. | Apparatus, system, and method of processing log data, and recording medium storing log data processing program |
| US10514974B2 (en) | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
| WO2020031694A1 (en) * | 2018-08-09 | 2020-02-13 | 日本電信電話株式会社 | Log information collection device and log information collection method |
| WO2020144816A1 (en) * | 2019-01-10 | 2020-07-16 | 日本電気株式会社 | History management device, search processing device, history management method, search processing method, and program |
| WO2021100140A1 (en) * | 2019-11-20 | 2021-05-27 | 日本電信電話株式会社 | Network monitoring device, method, and program |
-
2005
- 2005-03-15 JP JP2005072503A patent/JP2006259811A/en active Pending
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8587805B2 (en) | 2006-12-14 | 2013-11-19 | Fujitsu Limited | Execution log generation apparatus and method |
| WO2008072333A1 (en) * | 2006-12-14 | 2008-06-19 | Fujitsu Limited | Execution log generation program, execution log generation device, and execution log generation method |
| JP2008210308A (en) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | Log integrating managing device, log integrating managing method, and log integrating managing program |
| JP2009043020A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009043019A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009043018A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support apparatus |
| US9171037B2 (en) | 2007-10-02 | 2015-10-27 | Tibco Software Inc. | Searching for associated events in log data |
| JP2010541102A (en) * | 2007-10-02 | 2010-12-24 | ログロジック,インコーポレーテッド | How to find related events in log data |
| CN101939742A (en) * | 2007-10-02 | 2011-01-05 | 洛格逻辑公司 | Searching for associated events in log data |
| JP2010182194A (en) * | 2009-02-06 | 2010-08-19 | Mitsubishi Electric Corp | Device and program for generating integrated log and recording medium |
| US10248739B2 (en) | 2011-02-28 | 2019-04-02 | Ricoh Company, Ltd. | Apparatus, system, and method of processing log data, and recording medium storing log data processing program |
| JP2014016758A (en) * | 2012-07-09 | 2014-01-30 | Nippon Telegr & Teleph Corp <Ntt> | Log data decompression device, log data compression device, log data decompression program, and log data compression program |
| CN103473169B (en) * | 2013-09-24 | 2016-04-06 | 北京京东尚科信息技术有限公司 | A kind of log file collection method and device |
| CN103473169A (en) * | 2013-09-24 | 2013-12-25 | 北京京东尚科信息技术有限公司 | Log file collection method and device |
| US10514974B2 (en) | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
| JP7006272B2 (en) | 2015-11-13 | 2022-01-24 | 日本電気株式会社 | Log analysis system, method and program |
| US11232013B2 (en) | 2015-11-13 | 2022-01-25 | Nec Corporation | Log analysis system, log analysis method, and log analysis program for a user interface |
| JPWO2017081866A1 (en) * | 2015-11-13 | 2018-08-30 | 日本電気株式会社 | Log analysis system, method and program |
| CN105698865A (en) * | 2016-03-15 | 2016-06-22 | 龙岩烟草工业有限责任公司 | Method and system for acquiring cigarette production quality control data |
| CN107436728A (en) * | 2016-05-26 | 2017-12-05 | 阿里巴巴集团控股有限公司 | Rule analysis result storage method, regular retrogressive method and device |
| CN107436728B (en) * | 2016-05-26 | 2020-10-02 | 阿里巴巴集团控股有限公司 | Rule analysis result storage method, rule backtracking method and device |
| JP2018109900A (en) * | 2017-01-05 | 2018-07-12 | 日立オートモティブシステムズ株式会社 | In-vehicle electronic control apparatus and log storing method |
| JP2020027330A (en) * | 2018-08-09 | 2020-02-20 | 日本電信電話株式会社 | Log information collection apparatus and log information collection method |
| WO2020031694A1 (en) * | 2018-08-09 | 2020-02-13 | 日本電信電話株式会社 | Log information collection device and log information collection method |
| JP7047661B2 (en) | 2018-08-09 | 2022-04-05 | 日本電信電話株式会社 | Log information collection device and log information collection method |
| WO2020144816A1 (en) * | 2019-01-10 | 2020-07-16 | 日本電気株式会社 | History management device, search processing device, history management method, search processing method, and program |
| JPWO2020144816A1 (en) * | 2019-01-10 | 2020-07-16 | ||
| JP7173165B2 (en) | 2019-01-10 | 2022-11-16 | 日本電気株式会社 | History management device, history management method and program |
| WO2021100140A1 (en) * | 2019-11-20 | 2021-05-27 | 日本電信電話株式会社 | Network monitoring device, method, and program |
| JPWO2021100140A1 (en) * | 2019-11-20 | 2021-05-27 | ||
| JP7347534B2 (en) | 2019-11-20 | 2023-09-20 | 日本電信電話株式会社 | Network monitoring equipment, methods and programs |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006259811A (en) | Log creating device, and program | |
| US10803017B2 (en) | Generating file usage information | |
| JP5361266B2 (en) | Document management apparatus, system, and document management method | |
| US8456477B2 (en) | Information processing apparatus, information processing method and program for generating and displaying network structures | |
| JP2012519918A (en) | Method, apparatus and system for visualizing the behavior of a user browsing a web page | |
| JP2013543604A (en) | Automatic or semi-automatic selection of service or processing provider | |
| WO2013038489A1 (en) | Computer system, management method for client computer, and storage medium | |
| JP2008181350A (en) | Information processing system, information processor and program | |
| JP2009129017A (en) | Document transfer support system, monitoring device, document transfer support device, method, and program | |
| JP2011191862A (en) | File management apparatus, file management system, and file management program | |
| JP7290391B2 (en) | Information processing device and program | |
| JP2010062878A (en) | Address book collective administration apparatus as well as address book preparation method and address book preparation program in the apparatus | |
| JP2010026849A (en) | System, program, and method for document management | |
| JP2008310514A (en) | User operation history acquisition display device, user operation history acquisition display method, user operation history acquisition display program and recording medium recording that program | |
| JP2010003127A (en) | Document management device, document management system, document management method and computer program | |
| JP2010049363A (en) | Log information analysis visualization device, log information analysis visualization method, log information analysis program, and storage medium stored with the program | |
| JP5063465B2 (en) | Document management apparatus, document management method, information processing program, and recording medium | |
| JP2011076217A (en) | Information processing apparatus, display method of file, information processing system, and program | |
| JP2005327297A (en) | Knowledge information collecting system and knowledge information collecting method | |
| JP2009110506A (en) | Information processing apparatus and information processing program | |
| JP2011070369A (en) | Device and method for integrating database | |
| JP2004088454A (en) | System for displaying image information | |
| JP6588304B2 (en) | Information processing apparatus, information processing method, and program | |
| JP2009141823A (en) | Data structure for data table, apparatus and system for generating data table, and user interface image developing method | |
| JP2004355470A (en) | Data management device and data management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081010 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090421 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090908 |